logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-11-2018 14:10:10

Elliiana
Membre
Distrib. : Debian 8.8
Noyau : Linux 3.16.0-4-amd64
Inscription : 21-06-2017

[Résolu] Routage, DMZ et Squid sur une seule machine

Bonjour à tous,
Je suis en train de mettre en place un projet de réseau informatique.
1541595724-rea7.png
Le serveur est un debian 8, avec DNS et Web.
L'idée c'est de tout d'abord activer le routage pour que le réseau interne puisse accéder à internet en passant par lui.
Et puis de le transformer en DMZ pour en sécuriser les accès. Ainsi que d'en faire un proxy Squidgard.

Tout simplement, est ce que c'est possiblke comme projet ? De mettre routage, DMZ et proxy sur une seule et même machine ?

Si non, quelle répartition ?
Si oui, j'installe qui en premier, la DMZ ou le proxy ?

Merci d'avance pour vos réponses,
Cordialement,
Elliiana

Dernière modification par Elliiana (08-11-2018 10:38:38)

Hors ligne

#2 07-11-2018 14:34:57

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Pourquoi Debian 8 ? Cette version n'est plus supportée officiellement et ne devrait pas être utilisée pour une nouvelle installation.

Qu'appelles-tu "DMZ" ? Pour moi une DMZ est un réseau, pas une machine.

Pour le reste, aucun souci.

Il vaut mieux montrer que raconter.

Hors ligne

#3 07-11-2018 15:36:32

Elliiana
Membre
Distrib. : Debian 8.8
Noyau : Linux 3.16.0-4-amd64
Inscription : 21-06-2017

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Bonjour Raleur,
Debian 8 parce que le serveur est déjà existant. Mais dans quelques temps il y aura une migration sur Debian 9.
Pour la DMZ, c'est parce que je n'ai qu'une seule machine à "sécuriser" sur la DMZ, donc pourquoi ne pas mettre en place les iptables qui permettent de définir la DMZ directement sur la machine concerné ?

Tel que je vois les choses à l'heure actuelle, c'est que j'ai une machine Debian qui sert de serveur DNS et Web.
Je souhaite le transformer en routeur pour que le réseau interne puisse accéder à internet.
Je souhaite mettre en place un pare-feu avec les iptables pour sécuriser et restreindre les accès venant du réseau interne et du réseau externe vers cette machine. C'est la même idée qu'une DMZ non ? Sauf qu'au lieu d'être un réseau c'est simplement une machine unique.
Et ensuite, je souhaiterais mettre en place un serveur proxy avec squidgard pour que le réseau interne passe par lui avant d'accéder à internet.

Du coup, cela te semble réalisable ?

Hors ligne

#4 07-11-2018 16:13:14

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Elliiana a écrit :

Je souhaite mettre en place un pare-feu avec les iptables pour sécuriser et restreindre les accès venant du réseau interne et du réseau externe vers cette machine. C'est la même idée qu'une DMZ non ?


Non, rien à voir. C'est juste un serveur+routeur+pare-feu.

L'adresse du réseau interne n'est pas une adresse privée. Elle a été choisie au hasard ou est réellement allouée à l'organisation qui opère ce réseau ?


Il vaut mieux montrer que raconter.

Hors ligne

#5 07-11-2018 16:36:14

Elliiana
Membre
Distrib. : Debian 8.8
Noyau : Linux 3.16.0-4-amd64
Inscription : 21-06-2017

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

D'accord.
Pour le moment c'est simplement dans le cadre d'un projet. Que je vais réaliser dans un premier temps en phase de test.
Oui ce n'est pas une adresse privée. Elle résulte d'une segmentation réseau et de la volonté de ne pas mettre une adresse "traditionnelle".

Hors ligne

#6 07-11-2018 16:49:37

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Si le réseau interne n'est connecté à rien d'autre que ce qui est montré dans le schéma, c'est du gâchis de lui allouer des adresses IPv4 publiques rares et hors de prix qui ne seront pas utilisées sur l'internet public.

Elliiana a écrit :

la volonté de ne pas mettre une adresse "traditionnelle".


Il n'y a pas d'adresse "traditionnelle". Il y a des adresses dédiées à différents usages.

Dernière modification par raleur (07-11-2018 16:54:10)


Il vaut mieux montrer que raconter.

Hors ligne

#7 07-11-2018 17:11:19

infothema
CA Debian-Facile
Lieu : Bégard (Côtes d'Armor)
Distrib. : Almalinux 9 - Fedora 38
(G)UI : GNOME
Inscription : 28-01-2012
Site Web

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Une seule remarque pour ton projet ! La construction du schéma est inversée ce qui perturbe la lecture. L’œil humain lit de gauche à droite en Europe et l'inverse pour la lecture japonaise et arabe en autre...Donc ce qui donne à la lecture de ta présentation : le flux sort de ton poste passe par le firewall-routeur et sort sur le Web ! Bizarrement je pense que c'est l'inverse schématiquement parlant... le problème de sécurité ne se situe pas chez toi mais sur internet smile

Une histoire de nomenclature...

Dernière modification par infothema (07-11-2018 17:20:12)


Association libriste infothema  située dans les Côtes d'Armor (Bretagne)
Blog : https://www.infothema.fr / Forum : https://www.infothema.fr/forum
Twitter : https://twitter.com/asso_infothema / Compte Mastodon : https://framapiaf.org/@infothema / PeerTube : https://infothema.net

Hors ligne

#8 07-11-2018 17:22:17

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

infothema a écrit :

le flux sort de ton poste passe par le firewall-routeur et sort sur le Web ! Bizarrement je pense que c'est l'inverse


Non, c'est exactement ça :

Elliiana a écrit :

activer le routage pour que le réseau interne puisse accéder à internet


Il vaut mieux montrer que raconter.

Hors ligne

#9 08-11-2018 09:00:18

Elliiana
Membre
Distrib. : Debian 8.8
Noyau : Linux 3.16.0-4-amd64
Inscription : 21-06-2017

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

raleur a écrit :

Si le réseau interne n'est connecté à rien d'autre que ce qui est montré dans le schéma, c'est du gâchis de lui allouer des adresses IPv4 publiques rares et hors de prix qui ne seront pas utilisées sur l'internet public.


Il s'agit d'un réseau interne, donc effectivement pas elles ne sont pas utilisées sur l'internet public, donc il ni a pas d'achat ou de réservation de ces adresses. Comme elles ne sortent pas telle qu'elle, mais transformée en adresse publique grâce au NAT, je pense (arrête moi si je me trompe) que ça ne pose pas de problème.

Hors ligne

#10 08-11-2018 10:02:01

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Elliiana a écrit :

Comme elles ne sortent pas telle qu'elle, mais transformée en adresse publique grâce au NAT


Elles devront d'abord être transformées en adresse privée 192.168.x.y du réseau de la box, afin que la box puisse router les paquets retour.

Elliiana a écrit :

je pense (arrête moi si je me trompe) que ça ne pose pas de problème.


Tant qu'une machine du réseau interne ne cherchera pas à communiquer avec une machine d'internet qui a légitimement une de ces adresses.

Dans un réseau connecté d'une façon ou d'une autre à l'internet public, on ne s'amuse pas à utiliser des adresses IP publiques qui ne vous appartiennent pas. Point. Il y a plein d'autres plages d'adresses pour ça. Si tu n'aimes pas 192.168.0.0/16, il y a de la place dans 172.16.0.0/12 et 10.0.0.0/8.


Il vaut mieux montrer que raconter.

Hors ligne

#11 08-11-2018 10:38:17

Elliiana
Membre
Distrib. : Debian 8.8
Noyau : Linux 3.16.0-4-amd64
Inscription : 21-06-2017

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

Ok, c'est noté.
Merci beaucoup pour toutes ces infos.
J'y vois plus clair !

Hors ligne

#12 08-11-2018 11:49:29

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [Résolu] Routage, DMZ et Squid sur une seule machine

ça c'est comme les noms de domaines... certains dsi trouvent que c'est logique de mettre un nom de domaine local active directory en .fr, puisque on est en france smile
sauf que ça pose problème, lorsque le domaine existe vraiment sur internet, et que quelqu'un du réseau veut y accéder...

sinon tu devrais rajouter un serveur dhcp à la liste, pour la partie lan
et éventuellement en plus du proxy squidgard, privoxy et havp enchainées ensemble

o_O

Hors ligne

Pied de page des forums